Timthumbin haavoittuvuus tekee monet WordPress-sivustot, jotka Google on estänyt

Google Malware -varoitukset alkoivat pudota kaikkialla Internetissä tämän kuun alussa ja jopa nyt, sivustot ovat edelleen saastuttaneet itsenäiset Internet-komentosarjat. Jos käytät WordPress-sivustoa, jolla on oma premium-teema, saatat nähdä yllä olevan viestin, kun yrität käydä verkkosivustossasi ( toivottavasti ei .... ). Ongelmana on äskettäin löydetty haavoittuvuus suosituimmassa kuvankäsittelykokeessa nimeltä Timthumb. Käsikirjoitus on erittäin suosittu Premium WordPress-teemojen keskuudessa, mikä tekee siitä erityisen vaarallisen hyödyntämisen, sillä hyödyntämiskoodi on ollut luonnossa jo useita viikkoja. Hyvä uutinen on, aion tarkastella paitsi miten-havaita, jos olet jo saanut tartunnan, mutta myös miten-paikata blogisi estää saada tartunnan ensiksi.

Tarkista, onko sinulla ongelmia

Muuten kuin näet Chromen varoituksen samanlaisen varoituksen, kun vierailet sivustossasi, on kaksi helppoa tapaa nähdä, onko WordPress-asennuksesi saanut tartunnan.

Ensimmäinen on Sucurin suunnittelemat ulkoiset wordpress-skanneri: http://sitecheck.sucuri.net/scanner/

Toinen on palvelinpuolen komentosarja, jonka lataat sivustoosi ja latautuu selaimesta. Tämä on saatavilla osoitteessa http://sucuri.net/tools/sucuri_wp_check.txt, ja se on nimettävä uudelleennimitetuksi Sucurin ohjeiden mukaisesti:

1. Tallenna komentojono paikalliselle koneellesi klikkaamalla hiiren oikealla painikkeella yllä olevaa linkkiä ja tallentamalla linkki nimellä
2. Kirjaudu sivustoosi sFTP: n tai FTP: n kautta (suosittelemme sFTP / SSH)
3. Lataa käsikirjoitus juurikaan WordPress-hakemistoon
4. Nimeä sucuri_wp_check.txt uudestaan ​​sucuri_wp_check.php
5. Suorita käsikirjoitus valitsemalla selain - yourdomain.com/sucuri_wp_check.php - Varmista, että muutat verkkotunnuksesi URL-polkuasi ja missä olet ladannut tiedoston
6. Tarkista tulokset

Jos skannerit vetävät tartunnan, haluat poistaa välittömästi tartunnan saaneet tiedostot välittömästi. Mutta vaikka skannerit näyttäisivät "kaikki selvät", sinulla todennäköisesti on vielä ongelmia todellisen timthumb-asennuksen kanssa.

Miten voin korjata sen?

Ensinnäkin, jos et ole vielä tehnyt niin -backupia ja lataat kopion WordPress-hakemistosta ja MySQL-tietokannasta. Ohjeita MySQL-tietokannan varmuuskopiointiin on artikkelissa WordPress Codex. Varmuuskopio saattaa sisältää roskaa, mutta se on parempi kuin aloittaa tyhjästä.

Seuraavaksi tartu viimeisimpään timthumb-versioon osoitteessa http://timthumb.googlecode.com/svn/trunk/timthumb.php

Nyt meidän on varmistettava uusi timbthumb .php ja tehtävä se niin, että ulkopuoliset sivustot eivät voi aktivoida komentojonoja. Voit tehdä tämän seuraavasti:

1. Käytä tekstieditoria, kuten Notepad ++, ja siirry riviin 27 timbthumb.php: ssa. Sen pitäisi lukea $ allowedSites = array (
2. Poista kaikki luettelossa mainitut sivustot, kuten "imgur.com" ja "tinypic.com"
3. Kaikkien poistamisen jälkeen suluissa pitäisi nyt olla tyhjä ja suljettu näin: $ allowedSites = array ();
4. Tallenna muutokset.

Okei, nyt kun uusi timbthumb-skripti on suojattu, sinun on muodostettava yhteys sivustosi palvelimeen FTP: n tai SSH: n kautta. Useimmissa WordPressin mukautetuissa teemoissa, jotka käyttävät timbthumbia, se sijaitsee wp-content \ themes \ [nimeä] -kansioon. Poista vanha timbhumb.php ja korvaa se uudella. Jos sinulla on useampi kuin yksi kopio timbthumbista palvelimellasi, sinun täytyy olla varma korvata kaikki niistä - huomaa, että joskus niitä kutsutaan vain nimellä thumb.php.

Kun olet päivittänyt timbthumbin Web-palvelimella ja poistanut tiedostot, jotka edellä mainitut skannerit havaitsivat, olet enemmän tai vähemmän hyvä mennä. Jos luulet, että saatat päivittää vähän myöhässä ja saatat jo olla saastutettu, ota heti yhteyttä verkko-isäntään ja pyydä heitä suorittamaan web-palvelimen täydellinen AV-skannaus. Toivottavasti voi auttaa korjaamaan ya muuten, ehkä sinun täytyy palata varmuuskopioon.